你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
public class AuthenticationServlet extends HttpServlet
{
private String userName;
private String password;
protected doPost(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException
{
userName = request.getParameter("userName");
password = request.getParameter("password");
authenticateUser(userName,password);
......
}
}
显然,正如有人在自动化负载测试中发现的那样,单例和缺乏同步会导致安全问题。
其他回答
当你丢失了密码和找回表格时,询问用户名和你的电子邮件。并且不验证电子邮件并将密码发送到指定的电子邮件。
刚)一/总动员:
这是在一个本地电视付费/订阅的网站上。很容易找到用户名,很多人使用名字。今天这个电视频道已经破产了(因为其他原因,比如缺乏专业精神)。
我的任务是发现一个用于报告的ODBC DSN,其中密码与用户匹配,并且用户属于数据库服务器管理组。
因此,任何具有此ODBC DSN的PC都可以使用任何ODBC兼容工具通过报表用户读取/更改所有数据(甚至更糟)。不需要授权,而且身份验证非常弱。
我在一家公立医院工作,这个软件几乎安装在该州每家政府医院的每一台电脑上,数据库服务器包含各种敏感的医疗数据(完整的患者详细信息、实验室测试结果等)。
最糟糕的是,我们悄无声息地报告了安全漏洞,然后正式报告,但在我继续在那里工作的2年里,它仍然没有修复,那已经是5年前的事了。
我最后工作的公司的FTP用户名和密码与他们的域名相同。他们不太在意反复警告。
不用说,网站没过多久就倒闭了。没有在线备份,所以他们不得不重建整个系统。但这并没有结束。这次事件后的新安全密码是一样的…加上123。
Windows 95可以选择需要密码才能解锁屏幕保护程序。然而,使用ctrl+alt+del你可以杀死屏幕保护程序。
中国的过滤软件——绿坝的官方网站将服务器mod_status信息公开供公众娱乐。
好奇的人:
http://www.lssw365.net/server-status
出于某种原因,你可能想在加载后不久按下停止按钮,否则它只是说由于某种原因连接重置…